• 한국컴퓨터정보학회논문지
• /
• 제11권5호
• /
• pp.157-164
• /
• 2006

최근에는 대부분의 인터넷 공격은 악성코드(Malware)에 의한 잘 알려지지 않은 제로데이 공격 형태가 주류를 이루고 있으며, 이미 알려진 공격유형들에 대해서 탐지하는 오용탐지 기술로는 이러한 공격에 대응하기가 어려운 실정이다. 또한, 다양한 공격 패턴들이 인터넷상에 나타나고 있기 때문에 기존의 정보 보호 기술로는 한계에 다다르게 되었고, 웹기반 서비스가 보편화됨에 따라 인터넷상에 노출된 웹 서비스가 주공격 대상이 되고 있다. 본 논문은 인터넷상의 트래픽 유형을 분류하고, 각 유형에 따른 이상 징후를 탐지하고 분석할 수 있는 비정상행위공격 탐지기술(Anomaly Intrusion Detection Technologies)을 포함하고 있는 위협관리 시스템(Threat Management System)을 제안한다.

• 정보처리학회논문지C
• /
• 제13C권1호
• /
• pp.11-18
• /
• 2006

최근의 해킹사고에서 침입자는 피해시스템에서 자신의 IP주소 노출을 피하기 위하여 피해시스템을 직접 공격하지 않고 Stepping stone(경유지)을 이용하여 경유지 우회 공격을 수행한다. 본 논문에서는 현재 네트워크 환경에서 Stepping stone을 이용한 경유지 우회 공격시 공격자의 근원지 주소를 추적하기 위한 알고리즘을 설계한다. 침입자 추적은 크게 두 가지 분류로 나뉘어 진다. 첫째는 IP Packet traceback, 둘째는 Connection traceback 이다. 본 논문에서는 Connection traceback에 공격을 다루며, 운영체제의 프로세스 구조를 이용하여 공격자 또는 Stepping stone을 구분하여 침입자의 위치를 추적한다.

• 한국통신학회논문지
• /
• 제42권1호
• /
• pp.193-204
• /
• 2017

인터넷 시스템의 보안은 백신을 최신으로 업데이트하고, 신종 악성코드를 탐지해 내는 능력에 달려있다. 하지만, 급변하는 인터넷 환경과 더불어, 악성코드는 끊임없이 변종을 만들어내고 더욱 지능적으로 진화하고 있어 현재 운용중인 시그니쳐 기반 탐지체계로 탐지되지 않는다. 따라서, 본 연구에서는 악성코드의 네트워크 행위 패턴을 추출하여 DNA 서열 유사도를 비교하여 활용하는 유사 시퀀스 정렬 알고리즘을 적용하여 악성코드를 분류하는 기법을 제안한다. 제안한 기법을 실제 네트워크에서 수집된 악성코드 샘플 766개에 적용하여 유사도를 비교한 결과 40.4%의 정확도를 얻었다. 이는 코드나 다른 특성을 배제하고 악성코드의 네트워크 행위만으로 분류했다는 점을 미루어 볼 때 앞으로 더 발전 가능성이 있을 것으로 기대된다. 또한 이를 통해 공격그룹을 예측하거나 추가적인 공격을 예방할 수 있다.

• 융합보안논문지
• /
• 제22권4호
• /
• pp.17-24
• /
• 2022

최근 머신러닝 기반의 사이버 공격 탐지 및 분류 연구가 활발히 이루어지고 있으며, 높은 수준의 탐지 정확도를 달성하고 있다. 그러나 저 사양 IoT 기기, 대규모의 네트워크 트래픽 등은 IoT 환경에서 머신러닝 기반의 탐지모델 적용을 어렵게 하고 있다. 따라서 본 논문에서는 국방분야에서도 활용되고 있는 MQTT(Message Queuing Telementry Transport) IoT 프로토콜 환경에서 수집된 데이터세트를 대상으로, 차원축소 기법인 PCA(Principal Component Analysis)와 LightGBM(Light Gradient Boosting Model)을 이용하여 IoT 공격을 효울적으로 탐지 및 분류하는 방안을 제안하였다. 실험을 통해 제안하는 분류모델의 성능을 확인한 결과 원본 데이터세트를 약 15%로 축소하였음에도 원본 전체를 모두 사용한 모델과 거의 유사한 성능을 나타냈으며, 본 논문에서 선정한 4가지 차원축소기법과의 비교 평가에서도 가장 우수한 성능을 나타냈다.

• 정보보호학회논문지
• /
• 제33권6호
• /
• pp.919-928
• /
• 2023

딥러닝 기술은 자율 주행 자동차, 이미지 생성, 가상 음성 구현 등 다양한 분야에서 활용되고 있으며 하드웨어 장치에서 고속 동작을 위해 딥러닝 가속기가 등장하게 되었다. 그러나 최근에는 딥러닝 가속기에서 발생하는 부채널 정보를 이용한 내부 비밀 정보를 복구하는 공격이 연구되고 있다. 본 논문에서는 DNN(Deep Neural Network) 기반 MNIST 숫자 분류기를 마이크로 컨트롤러에서 구현한 후 상관 전력 분석(Correlation Power Analysis) 공격을 시도하여 딥러닝 가속기의 가중치(weight)를 충분히 복구할 수 있음을 확인하였다. 또한, 이러한 전력 분석 공격에 대응하기 위해 전력 측정 시점의 정렬 혼돈(misalignment) 원리를 적용한 Node-CUT 셔플링 방법을 제안하였다. 제안하는 대응책은 부채널 공격을 효과적으로 방어할 수 있으며, Fisher-Yates 셔플링 기법을 사용하는 것보다 추가 계산량이 1/3보다 더 줄어듦을 실험을 통해 확인하였다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2003년도 추계학술발표논문집 (중)
• /
• pp.1125-1128
• /
• 2003

네트워크의 급속한 발전으로 인해 이제는 생활의 중요한 요소로 자리 잡고 있는 현재의 시점에서, 악의적으로 네트워크에 심각한 피해를 끼치는 사례 또한 증가하고 있다. 따라서 이러한 피해로부터 네트워크나 종단 호스트를 보호해야한 필요성이 매우 높아지고 있다. 하지만, 현재의 보안 시스템으로는 DDoS 공격 시 이에 빠르게 대처하여 시스템을 보호하기에는 많은 문제점을 안고 있으므로, DDoS 공격을 받기 이전에 패킷을 필터링하고 패킷 양을 조절해 주어야 할 필요가 있다. 이에 네트워크에 유입되는 패킷을 분류하여 처리하는 보다 향상된 패킷 필터링 기법을 사용하여 DDoS와 같은 공격에 대해 유연하게 대처하기 위한 방안을 제시하고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2014년도 춘계학술발표대회
• /
• pp.506-509
• /
• 2014

최근 클라우드 서비스의 발전으로 인해 네트워크 트래픽이 폭발적으로 증가함에 따라 네트워크를 보다 효율적으로 관리하는 방법들에 대한 필요성이 제기되었고 해결책으로 소프트웨어 정의 네트워크(Software-Defined Network: SDN)가 제안되었다. 네트워크 구조가 기존보다 효율적인 SDN으로 변화함에 따라 보안 기술들도 함께 변화하고 있는데 본 논문에서는 보안 기술들 중 SDN을 이용한 네트워크 공격 탐지 기법들을 패킷 분석 기반과 임계값 기반으로 분류하고 보안성과 자원 사용에 대한 효율성 측면에서 분석하였다. 본 논문의 분석 결과를 통해 앞으로의 SDN 기반 네트워크 공격 탐지 기법들의 연구 방향을 제시하고 향후 새로운 SDN 기반 네트워크 공격 탐지 기법 연구와 탐지 시스템 구현에 기틀을 마련한다.

• 정보보호학회지
• /
• 제33권6호
• /
• pp.79-87
• /
• 2023

사이버위협의 증가로 사이버보안 역량을 강화할 수 있는 사이버훈련에 대한 요구가 점점 증가하고 있다. 사이버훈련이란 개인의 사이버보안 역량 강화 및 사이버공격에 대한 조직적 대응을 단련하는 일련의 행위를 가리킨다. 최근 IT 영역에서 실생활과 밀접한 관계가 있는 OT 영역으로 사이버공격 범위가 늘어나 그 피해는 증가하고 있다. 이로 인해 이들 사이버공격에 대비한 사이버훈련이 필요하며, IT 위주에서 OT를 포함한 사이버훈련으로 확장할 필요가 있다. 본고에서는 IT와 함께 OT 영역까지 사이버훈련을 수행할 수 있는 사이버훈련장 구축 연구를 소개한다. 본고에서는 OT 영역을 11개의 국가기반시설로 분류하였고, OT 사이버환경을 SW 기반으로 구축할 수 있는 방안을 제안한다. 제안된 사이버훈련장을 통해 IT와 OT 대상 사이버공격에 대한 사이버훈련을 수행할 수 있으며 사이버보안 역량을 강화할 수 있다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2008년도 춘계학술발표대회
• /
• pp.1139-1142
• /
• 2008

인터넷의 이용이 증가함에 따라 네트워크를 통한 다양한 공격 역시 증가 추세에 있다. 따라서 네트워크 이상징후를 사전에 탐지하고 상황에 따라 유연하게 대처할 수 있도록 하기 위한 연구가 절실하다. 본 연구는 은닉마코프모델을 이용해 트래픽에서 이상징후를 탐지하는 기법을 제안한다. 제안하는 기법은 시계열 예측 기법을 이용해 트래픽에서 징후를 추출한다. 징후추출 과정의 결과를 은닉마코프모델을 활용한 징후판단과정을 통해 네트워크 이상징후인지를 판단하고 결정한다. 일련의 과정을 perl로 구현하고, 실제 공격이 포함된 트래픽을 사용하여 검증한다. 하지만 결과가 확연히 증명되지는 않는데, 이는 학습과정의 부족과 실제에 가까운 트래픽의 사용으로 인해 나타나는 현상으로 연구의 본질을 흐리지는 않는다고 판단된다. 오히려 실제 상황을 가정했을 때 접근이나 적용을 판단함에 관리자의 의견을 반영할 수 있으므로 공격의 탐지와 판단에 유연성을 증대시킬 수 있다. 본 연구는 실시간 네트워크의 상황 파악이나 네트워크에서의 신종 공격 탐지 및 분류에 응용가능할 것으로 기대된다.

• 한국정보과학회논문지:데이타베이스
• /
• 제34권6호
• /
• pp.473-482
• /
• 2007

네트워크 기반의 침입탐지시스템에서는 수집된 패킷데이타의 분석을 통해 침입인지 정상행위 인지를 판단하여 경보를 발생 시키며 이런 경보데이타의 양은 기하급수적으로 증가하고 있다. 보안관리자는 이러한 대량의 경보데이타들을 분석하고 통합 관리하여 네트워크 보안레벨을 진단하거나 시간에 따른 적절한 대응을 하는데 유용하게 사용하여야 한다. 그러나 오경보의 비율이 너무 높아 경보 데이터들간의 상관관계 분석이나 고수준의 의미 분석에 어려움이 많으므로 분석결과에 대한 신뢰성이나 분석의 효율성이 낮아지는 문제점을 가진다. 이 논문에서는 데이타 마이닝의 분류 기법을 적용하여 오경보율을 최소화하는 방법을 제안한다. 결정트리기반의 분류 기법을 오경보 분류 모델로 적용하여 오경보들 중 실제는 공격이 아님에도 불구하고 공격이라 판단된 오경보를 정상으로 분류할 수 있는 경보 데이타 분류 모델을 설계하고 구현한다. 구현된 경보데이타 분류 모델은 오경보율을 최소화하므로 경보데이타의 분석 및 통합을 통해 경보메시지의 축약 및 침입탐지시스템의 탐지율을 높이는데 활용될 수 있다.